Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Privacy & Security by Design "Os voy a tocar un poco las webs"

43 visualizaciones

Publicado el

Presentación de la conferencia en Women Tech Makers de Google en Zaragoza 2018

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Privacy & Security by Design "Os voy a tocar un poco las webs"

  1. 1. Os voy a tocar un poco las webs… ;) for
  2. 2. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Susana González Ruisánchez Managing Partner at ECIX Group Especialista en derecho tecnológico, seguridad de la información, protección de datos de carácter personal, corporate compliance, gestión de procesos de innovación tecnológica, propiedad industrial e intelectual, Legal Web Compliance, comunicación y marketing digital. Abogado en ejercicio desde 1994. Promotora/organizadora de #CONPilar y Hack&Kids, conferencias en Zaragoza de ciberseguridad, hacking y nuevas tecnologías. Docente en el Curso de Experto Profesional en Derecho Tecnológico e Informática Forense de la Universidad de Extremadura y Mooc de Miriadax, del en Master de Perito en Informática Forense y Seguridad de la Universidad de Salamanca; del máster de Cibderderecho de la Universidad de Murcia y del master de Compliance de ICAB. Miembro de junta fundadora de ANPHACKET (Asociación nacional de profesionales del hacking ético, juristas y miembros de seguridad del estado). Who Am I Auditora jefe certificada por Aenor en Sistemas de Gestión de Seguridad de la Información ISO 27001
  3. 3. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Definición del proyecto Nombre y registro de dominio Calidad, funcionalidades, costes Gestión de contenidos enfocados al SEO/SEM Cumplir con las leyes que regulan los negocios en Internet Registrar la marca en los mercados a los que se va a dirigir el negocio Primeros pasos
  4. 4. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Privacy by Design & Security by Design La privacidad y la seguridad no pueden ser garantizadas solo por cumplir con los marcos regulatorios (que también) Asegurar la privacidad debe convertirse en un hito importante de la planificación y organización de un proyecto. 7 principios Proactiva, no Reactiva; Preventiva no Correctiva Privacidad como la Configuración Predeterminada Privacidad Incrustada en el Diseño Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde” Visibilidad y Transparencia – Mantenerlo Abierto Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo Respeto por la Privacidad de los Usuarios – Enfoque Centrado en el Usuario
  5. 5. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Ley de Servicios de la Sociedad de la información y del Comercio electrónico Reglamento General Europeo Protección de datos Ley Orgánica de Protección de Datos personales Ley general de defensa de los consumidores y usuarios Ley de propiedad intelectual Ley de condiciones generales de contrataciónLey de marcas Ley de competencia desleal Ley General de Publicidad Ley del comercio minorista Ley reguladora del Derecho al Honor Ley de Protección del Menor ¿Qué debe cumplir nuestra web/app/proyecto para cumplir los principios de privacy & security by design?
  6. 6. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 ¿PSI? Suministro de información vía telemática Envío de comunicaciones comerciales Contratación de bienes y servicios por vía electrónica Ley de Servicios de la Sociedad de la información y del Comercio electrónico: PSSI actividad económica
  7. 7. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Prohibición de comunicaciones no solicitadas o expresamente autorizadas:  Spam.  Práctica agresiva o desleal. Obtención lícita de datos para contacto:  Contrato o relación precontractual  Consentimiento informado y expreso Ofrecer oposición al tratamiento comercial de datos: baja (tanto en recogida y como en comunicaciones) y el resto de derechos del GDPR (acceso, supresión, portabilidad, rectificación...) Responsabilidad por contenidos propios y subidos por usuarios:  Comentarios.  Buzón de denuncias y reclamaciones. ¿Qué obligaciones tenemos como PSI?
  8. 8. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Aviso legal y Condiciones de uso Política de privacidad y cláusulas informativas en formularios específicas a la finalidad del tratamiento Política de cookies, auditoría de cookies y aviso de primera capa. Condiciones generales de la contratación: venta, devoluciones, ofertas.. Medidas de seguridad técnicas a las bases de datos personales + Plan de respuesta ante incidentes y fugas de información ¿Cumple nuestra web? ¿Qué obligaciones tenemos como PSI?
  9. 9. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Unos textos legales bien redactados no es sólo la respuesta a una exigencia normativa y para prevenir sanciones, sino especialmente una de las formas de demostrar a un visitante que somos una empresa seria y de confianza, que respetará sus derechos y actuará dentro de la Ley. Legal Web Compliance:
  10. 10. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Aviso legal ¿Qué deben contener los textos legales? Asunción y exclusión de responsabilidades Condiciones de uso Política de enlaces Propiedad Intelectual Condiciones generales de contratación Datos de identificación Legal Web Compliance:
  11. 11. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Derechos morales Derecho de divulgación Derecho de autoría Derecho de integridad Derecho de modificación Derecho de retirada del comercio Derecho e acceso al ejemplar único Propiedad Intelectual Derecho de autor y derecho de firma: Somos autores de nuestro CF, BBDD, programas, marcas, logotipos, textos originales y trabajos audiovisuales Derechos de explotación Derecho de reproducción Derecho de distribución Derecho de comunicación pública Derecho de transformación Precisan autorización del autor  Quién es el titular de los contenidos de la web.  Política de enlaces  Usos permitidos y prohibidos  Quizás al titular no sólo no le importe, sino que incluso le convenga, que sus contenidos sean reproducidos y utilizados en otros sitios, siempre que se indique la fuente original. ¿Qué deben contener los textos legales?Legal Web Compliance:
  12. 12. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Responsabilidades y Comercio electrónico Si en el sitio ofrece al usuario algún tipo de herramienta, asesoramiento o comercio electrónico, deberá mostrar unas Condiciones Generales de la Contratación y/o del Uso, así como cumplir determinados requerimientos en el proceso de contratación. ¿Qué deben contener los textos legales?Legal Web Compliance:
  13. 13. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Política de privacidad y cláusulas informativas de tratamiento de datos en todos los formularios: tipos de datos recogidos, finalidades, medidas de seguridad técnicas y organizativas, ejercicio de derechos. Si no funciona el link de baja o no existe el mail: AEPD sanción por infracción del artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 €, de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI Con GDPR no cumplir estas cuestiones puede alcanzar el 4% del volumen de facturación anual global! ¿Qué deben contener los textos legales?Legal Web Compliance:
  14. 14. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante De la posibilidad de ejercitar los derechos de acceso, rectificación, supresión o cancelación, oposición, portabilidad y limitación del tratamiento, mediante un sistema sencillo y gratuito Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas De la existencia y finalidad del tratamiento de datos de carácter personal y de los destinatarios de la información. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos Si la web incluye un formulario de contacto, y siempre con la precaución de solicitar únicamente los datos imprescindibles, deberá cumplir las condiciones del Reglamento General de Protección de Datos (GDPR). Esta cláusula es necesario incluirla además en el propio formulario, ya que el visitante no está obligado a visitar el Aviso Legal. Si se hace mediante un enlace, será necesario incluir un check sin premarcar, para tener una prueba del consentimiento expresado por el usuario así como para gestionar sus solicitudes de ejercicio de derechos. Protección de Datos Debe informar: Legal Web Compliance:
  15. 15. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Acceso Rectificación Cancelación o Supresión Oposición Portabilidad Limitación Objetivo: que el usuario conservar el control sobre sus datos personales. Sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado. Debe propiciarse el ejercicio gratuito, fácil y ágil. Protección de DatosLegal Web Compliance:
  16. 16. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Política de cookies, aviso de primera capa de cookies y auditoría de cookies que instala el navegador en los dispositivos del usuario al navegar por la web. ¡¡Importante!! Minimizar la instalación de cookies e identificar bien las cookies y otras tecnologías de tracking & profiling. Legal Web Compliance: Cookies y tecnologías similares (beacons, pixel, Local/Session Storage,…) Debe facilitarse información clara y completa sobre su utilización y finalidad del tratamiento de datos (Primera capa, política de cookies y auditoría). El usuario ha de prestar su consentimiento para su instalación y guardarse la evidencia de la aceptación/configuración Se debe facilitar al usuario la configuración y/o eliminación de cookies
  17. 17. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Notificación fugas datos | incidentes seguridad. Medidas de seguridad técnicas y organizativas “adecuadas” Implantar medidas organizativas ”adecuadas” para informar, atender derechos, recoger datos, etc. Suscribir contratos ET Recoger (y almacenar su evidencia) el consentimiento explícito por parte del usuario. Otros deberes Privacy & Security by Design Valorar riesgos y decidir (asumir, externalizar controlar).
  18. 18. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 ¿Tiene el desarrollador que ser experto en derecho tecnológico? Dos aspectos fundamentales desde el punto de vista del desarrollador: Tiene “obligación” de entregar un proyecto que cumpla todas las leyes que le aplican Es responsable de informar al cliente de la posibilidad de subcontratar ese cumplimiento legal OJO con: CTRL-P / CTRL-V Los textos deben ser específicos Intrusismo profesional
  19. 19. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Security by Design Un 95 por ciento de los ataques con éxito se debe a un software mal programado, con un mantenimiento deficiente y con una configuración inadecuada (Thomas Tschersich, jefe del departamento de Seguridad Interna & Protección frente a los ciberataques en Deutsche Telekom) La seguridad desde el diseño obliga a analizar los riesgos de seguridad y las posibles vulnerabilidades de nuestro proyecto desde el mismo momento que comenzamos a diseñarlo, así como a hacer una evaluación de la previsión del ciclo de vida de la seguridad de la información con la que se vaya a trabajar en el proyecto.
  20. 20. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Security by Design (algunas herramientas) Open Web Application Security. Proyecto de código abierto dedicado a determinar y combatir las causas de que el software sea inseguro = Estándar de medidas de control OWASP: SAST: Static Application Security Testing. Test de White Box, de dentro hacia afuera, que analiza el diseño del código para descubrir fallos de seguridad. DAST: Dynamic Application Security Testing. Test de Black Box, de afuera hacia dentro, que analiza proyectos o aplicaciones en su versión final, para comprobar su cumplimiento con estándares de seguridad y privacidad.
  21. 21. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Ciberseguridad Sanciones GDPR: Aumento de casos de extorsión y ransomware, pidiendo un rescate por no revelar datos de una brecha de seguridad.
  22. 22. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 DEMO TIME !!! And now….
  23. 23. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757
  24. 24. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757
  25. 25. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Trabaja con un partner legal tecnológico que alinee la seguridad y el cumplimiento con tus objetivos de negocio HandShake ;-) Recomendación:
  26. 26. susana@susanagonzalez.es @SuDigitalLawyer www.susanagonzalez.es C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA contactozgz@ecixgroup.com 976113757 Muchas gracias!!

×